Zum Inhalt springen
0
0228 / 96 96 77-0
Kontakt

Let's Encrypt

Let's Encrypt in einfacher Sprache
Zuletzt aktualisiert: 07.04.2026Autor: Redaktion DomainProvider.de · Lesezeit: 4 Min.

Let's Encrypt ist eine gemeinnützige Zertifizierungsstelle (CA), die kostenlose SSL-Zertifikate automatisiert per ACME-Protokoll ausstellt. Die Initiative wurde 2014 von der Internet Security Research Group (ISRG) gegründet und hat dazu beigetragen, HTTPS im Web zu verbreiten — laut eigenen Angaben wurden bis 2025 über 4 Milliarden Zertifikate ausgestellt. Let's Encrypt bietet ausschließlich Domain-Validated-Zertifikate (DV) mit eingeschränkter Laufzeit.

Was bietet Let's Encrypt?

Let's Encrypt deckt einen klar definierten Anwendungsfall ab: automatisierte DV-Zertifikate für Websites und Server.

  • Kostenlos: Keine Gebühren für Ausstellung, Erneuerung oder Widerruf.
  • Automatisiert: Zertifikate werden per ACME-Protokoll beantragt, validiert und erneuert. Manuelle Eingriffe sind im Idealfall nicht nötig.
  • Domain-Validated (DV): Die Validierung prüft nur, ob der Antragsteller die Domain kontrolliert — nicht, wer dahinter steht.
  • Breite Akzeptanz: Let's-Encrypt-Zertifikate werden von allen aktuellen Browsern und Betriebssystemen als vertrauenswürdig anerkannt.

Welche Einschränkungen hat Let's Encrypt?

Die kostenlose Ausstellung hat ihren Preis in Form von Einschränkungen, die für viele Unternehmen relevant sind.

Einschränkung Details
Nur DV-Zertifikate Kein OV (Organisation Validated) und kein EV (Extended Validation). Der Firmenname erscheint nicht im Zertifikat. Für Unternehmen, die ihre Identität nachweisen wollen, ist ein OV- oder EV-Zertifikat einer kommerziellen CA erforderlich.
Kurze Laufzeit Aktuell 90 Tage, wird ab 2027 auf 45 Tage verkürzt (siehe unten). Erfordert zwingend Automatisierung — ein vergessener Erneuerungslauf führt zum Ausfall der Webseite.
Keine Garantie (Warranty) Kommerzielle CAs bieten Garantiesummen (bis zu mehreren Millionen Dollar) für den Fall einer fehlerhaften Ausstellung. Let's Encrypt bietet keine solche Absicherung.
Kein persönlicher Support Bei Problemen gibt es nur ein Community-Forum. Kein Telefon-Support, kein Ticket-System, keine garantierten Reaktionszeiten.
Rate Limiting Maximal 50 Zertifikate pro registrierter Domain pro Woche. Bei vielen Subdomains oder häufigen Neuausstellungen kann das Limit erreicht werden.
Keine Wildcard ohne DNS-Validierung Wildcard-Zertifikate erfordern die DNS-01-Challenge. Nicht alle Hosting-Umgebungen unterstützen automatisierte DNS-Änderungen.

Wie entwickelt sich die Laufzeit von Let's-Encrypt-Zertifikaten?

Let's Encrypt verkürzt die Zertifikatslaufzeit schrittweise von 90 auf 45 Tage. Das Standard-Profil, das die meisten Nutzer betrifft, entwickelt sich wie folgt:

Zeitpunkt Standard-Laufzeit
Bis Februar 2027 90 Tage
Ab Februar 2027 64 Tage
Ab Februar 2028 45 Tage

Parallel dazu gibt es demnächst zwei optionale Kurzzeit-Profile für Betreiber mit vollständig automatisierter Infrastruktur: Zertifikate mit 45 Tagen bzw. 6 Tagen Laufzeit. Diese müssen aktiv gewählt werden — wer nichts ändert, erhält weiterhin die Standard-Laufzeit.

Für Unternehmen ohne eigene Automatisierung bedeutet die Verkürzung ein wachsendes Risiko: Ein vergessener oder fehlgeschlagener Erneuerungslauf führt schneller zum Ausfall der Webseite. Let's Encrypt empfiehlt deshalb ausdrücklich, ein Monitoring einzurichten, das bei fehlgeschlagenen Zertifikatserneuerungen sofort Alarm schlägt. Kostenpflichtige SSL-Zertifikate mit längerer Laufzeit bieten hier mehr Planungssicherheit.

Welche Vorfälle gab es bei Let's Encrypt?

Als größte CA weltweit hatte Let's Encrypt mehrere Vorfälle, die das Vertrauen belastet haben.

  • März 2020 — 3 Millionen Zertifikate widerrufen: Ein Bug in der CAA-Record-Prüfung (Certificate Authority Authorization) führte dazu, dass Zertifikate ausgestellt wurden, ohne die Domain-Autorisierung korrekt zu verifizieren. Let's Encrypt musste innerhalb von 5 Tagen rund 3 Millionen aktive Zertifikate widerrufen. Betroffene Website-Betreiber mussten ihre Zertifikate kurzfristig erneuern.
  • September 2021 — Root-Zertifikat abgelaufen: Das Root-Zertifikat "DST Root CA X3" lief am 30. September 2021 ab. Ältere Geräte — insbesondere Android-Versionen vor 7.1 und ältere OpenSSL-Installationen — konnten Let's-Encrypt-Zertifikate nicht mehr validieren. Websites mit Let's-Encrypt-Zertifikat waren für diese Nutzer nicht mehr erreichbar.
  • Wiederholte Rate-Limit-Probleme: Hosting-Provider und Unternehmen mit vielen Subdomains stoßen regelmäßig an die Ausstellungsgrenzen. In Kombination mit der kurzen Laufzeit kann ein Rate-Limit-Problem schnell zum Zertifikatsausfall führen.

Wann reicht Let's Encrypt — und wann nicht?

Let's Encrypt eignet sich für bestimmte Anwendungsfälle, stößt aber bei geschäftskritischen Einsätzen an Grenzen.

Anwendungsfall Let's Encrypt Kostenpflichtiges SSL-Zertifikat
Persönlicher Blog Ausreichend Nicht nötig
Unternehmenswebsite Grundschutz möglich OV-Zertifikat empfohlen (Firmenidentität)
Online-Shop Bedingt geeignet OV- oder EV-Zertifikat empfohlen (Vertrauen, Warranty)
Viele Subdomains Rate Limits beachten Wildcard-Zertifikat ohne DNS-01 möglich
Maximale Planungssicherheit 45-Tage-Erneuerung ab 2028 Längere Laufzeiten verfügbar
Support bei Problemen Nur Community-Forum Persönlicher Support

Fazit

Let's Encrypt hat HTTPS im Web verbreitet und stellt kostenlose DV-Zertifikate per ACME automatisiert aus. Für persönliche Projekte und einfache Websites ist das oft ausreichend. Für Unternehmen gelten jedoch Einschränkungen: keine Organisationsvalidierung, keine Warranty, kein persönlicher Support und eine Laufzeit, die bis 2028 auf 45 Tage sinkt. Wer seine Firmenidentität im Zertifikat nachweisen, Garantie-Schutz erhalten oder nicht von vollständiger Automatisierung abhängig sein möchte, ist mit einem SSL-Zertifikat einer kommerziellen CA besser beraten.

Haftungsausschluss (Details anzeigen)(Details ausblenden)

Die bereitgestellten Informationen dienen ausschließlich der allgemeinen Orientierung. Für Richtigkeit, Vollständigkeit und Aktualität wird keine Gewähr übernommen. Die Inhalte sind nicht rechtsverbindlich und nicht Bestandteil einer Leistungsbeschreibung.

Preise inkl. MwSt. Angebote sind zeitlich begrenzt verfügbar und teilweise an Mindestvertragslaufzeiten gebunden.